银河麒麟系统中root用户open文件报 failed: Permission denied

问题描述

在银河麒麟系统中写一个代码，通过open函数打开一个/tmp目录下的文件，文件的owner是user（是sudoer的用户），权限是755，如果不用sudo运行，open文件是正常的，但用sudo（相当于root用户）执行程序时，则报错failed: Permission denied。

问题原因

问题的主要原因是，银河麒麟系统默认使能了SELinux，为什么使能了SELinux会导致root用户无法打开文件呢？
这要用SELinux引入的机制说起。SELinux（Security-Enhanced Linux）是一个Linux内核模块和用户空间工具的组合，用于增强Linux系统的安全性。它引入了强制访问控制（MAC）机制，通过对文件、进程和资源的访问进行更细粒度的控制，可以防止许多常见的安全漏洞和攻击。
SELinux的主要特点和功能包括：

• 强制访问控制（MAC）：与传统的基于用户和组的访问控制不同，SELinux使用标签和规则来限制进程和对象之间的交互。这意味着即使一个进程以root权限运行，也可以被限制访问资源，以减少潜在的威胁。
• 标签化：SELinux使用标签（security context）来标识文件、进程和资源，以确定它们的权限。这些标签包括用户、角色、类型和级别等信息。
• 策略规则：SELinux的策略由规则组成，规定了如何允许或禁止进程与对象的交互。这些规则可以配置以适应特定的系统需求。
• 日志记录和审计：SELinux可以生成详细的审计日志，记录系统上的每个安全决策。这有助于检测和调查潜在的安全事件和攻击。
• 安全上下文：文件、进程和资源都有与之相关的安全上下文，包括SELinux类型。这些上下文用于确定访问权限。
• SELinux Booleans：SELinux引入了布尔值，可以用于启用或禁用特定的安全策略，以适应不同的系统需求。
• SELinux旨在提供更高级别的系统安全性，特别是在多用户环境和服务器环境中。它可以有效地限制潜在的威胁，并提供更详细的审计和控制。然而，配置和管理SELinux可能需要一些复杂的工作，因此通常需要一些专业知识。对于一般桌面用户来说，通常不需要自行配置SELinux。

解决方法

从SELinux的主要特点中可以看出，它确实有可能会导致正常用户能打开文件，root用户却无法打开文件的情况。所以，比较快速的解决办法是禁用SELinux，编辑文件：/etc/selinux/config ，并将SELINUX设置为disabled，然后重启系统，实际测试，该方法可以解决问题。